FIFA обнаружила уязвимость в системе управления потоками World Cup 2026

Уязвимость в инфраструктуре FIFA: как открытые потоки могли превратить World Cup в хаос

Разоблачение уязвимости в системе FIFA стало возможным благодаря ошибке в архитектуре их внутренних платформ. Система управления потоками World Cup 2026, размещённая на инфраструктуре MediaKind, оказалась доступной через Microsoft Entra (ранее Azure AD), что позволило любому зарегистрированному агенту получить неограниченный доступ к живым трансляциям и управляющим интерфейсам.

Техническая схема атаки

Процесс регистрации на платформе FIFA Agent Platform (FAP) включает добавление аккаунта в Microsoft Entra. Этот же тенант используется для всех внутренних систем FIFA, включая Football Data Platform (FDP) и Streaming Management Panel. После регистрации пользователь получал роль без привилегий (NO_ROLES), но клиентская часть Angular-приложения не проверяла наличие ролей на